はじめに AWSのアクセス制御サービスであるIAMについて、2022年7月時点での機能および使用法を、初学者でも理解しやすいことを心掛けてまとめました。 IAMをよく分からないまま適当に設定するとセキュリティ的にまずいので、これを機に設定を見直して頂き、セキュリティレベル向上に貢献できれば幸いです。 特に、後述するIAM設定手順は、AWSに登録して最初に実施すべき設定に相当するため、セキュリティに興味がなくとも一度は実施することをお勧めします。 また公式のベストプラクティスは丁寧にまとめたつもりなので、初学者以外でもAWSのセキュリティ確保に興味がある方は、ぜひご一読頂けると嬉しいです。 IAMとは 「Identity and Access Management」の略です。 公式ドキュメントによると、IAMは「誰」が「どのAWSのサービスやリソース」に「どのような条件」でアクセスできるかを
AWS IAMの属人的な管理からの脱却【DeNA TechCon 2021】/techcon2021-19
AWSをはじめとするクラウドプラットフォームの普及に伴い、DevとOpsの境目はかなり曖昧になっています。その中でもIAMの管理は設定によっては権限昇格を引き起こしかねないことから、その管理権限は慎重な管理になりがちです。結果的に、IAMは属人的な管理を行っている組織が多いのではないでしょうか。 …
AWS IAM再入門 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 概要 いまさらだけども理解しているつもりできちんと理解していなかったIAMについて、改めて勉強したので忘れないようにまとめる。 参考にした資料: 【AWS Black Belt Online Seminar】AWS Identity and Access Management (AWS IAM) Part1 【AWS Black Belt Online Seminar】AWS Identity and Access Management (AWS IAM) Part2 ※この記事で利用しているSSは上記資料内のものです。詳しく知りたい方
AWS IAM セキュア化の取り組み
鍵がいっぱいあるよこの記事は Eureka Advent Calendar 2021 の 13日目の記事です。 はじめにこんにちは、エウレカ SREチーム のハラダです! 2020年頃から今年にかけて、 エウレカのSREチームとSecurityチームではAWS IAMのセキュア化を注力ポイントのひとつとして、継続的に取り組んできました。 本記事では、その実践から学んできたIAM管理で守るべき大原則および、具体的にどうやってセキュアな理想像に近づけてきたか、今後の方向性などを話したいと思います。 Why “IAM” so important ?そもそもなんでIAMが注力ポイントなの?と疑問に思われる方もいるでしょう。 クラウドの大きな強みである「すべてをAPI経由で操作できる」という性質ゆえに、IAMは大きなAttack Surfaceでもあります。 Gartner社の予測によると、2023
【書評】IAMの管理・運用に関わる人なら必読!「AWS IAMのマニアックな話」レビュー | DevelopersIO
オペレーション部 江口です。 少し前の話になってしまいましたが、2019年9月に開かれた技術書典7で、「AWS IAMのマニアックな話」という書籍が頒布されました。私も参加して購入、読んでとても良い本だなあ、と思ったのですが、当ブログに書評は投稿していませんでした。 ところが最近、作者の佐々木拓郎氏のTwitterでこんなフリが。 ちなみにサンタさんのクリスマスプレゼントで、クラメソさんがIAMのマニアックな話の書評かいてくれないかなぁと期待しています — Takuro SASAKI@技術書典-1日目 (@dkfj) December 18, 2019 これには答えざるを得ない。 ということで、この書籍を購入したクラメソ社員として不肖私がレビューさせていただきます。 最初に端的に感想を書いておくと、IAMについて知りたい技術者にとってはまさに必読と言えるでしょう。「マニアックな話」というタ
モブセキュリティで話した内容です。 https://mob-security.connpass.com/event/209884/ 情報の倫理的な取り扱いをお願いします。
AWS(Amazon Web Services)は、AWS IAM(AWS Identity and Access Management)でWebAuthnに対応したことを発表しました。 AWS IAMは以前から多要素認証に対応しており、今回この多要素認証の要素の1つとしてWebAuthnが使えるようになりました。つまりパスワードを入力した上で、追加の認証を行う多要素認証にWebAuthnが加わったことになります。 (2022/6/8 12:45 追記:当初、WebAuthnでパスワードレスなログインが可能と表記しておりましたが、間違いでした。お詫びして訂正いたします。タイトルと本文の一部を変更しました) WebAuthnは、パスワードレス技術の標準化団体であるFIDO Alliance(ファイドアライアンス)が策定したFIDO2仕様の構成要素であるWeb認証技術のことです。 2019年3
AWS IAM ベストプラクティスのご紹介 – AWSアカウントの不正利用を防ぐために | Amazon Web Services
Amazon Web Services ブログ AWS IAM ベストプラクティスのご紹介 – AWSアカウントの不正利用を防ぐために みなさん、こんにちわ。 アマゾン ウェブ サービス ジャパン株式会社、プロダクトマーケティング エバンジェリストの亀田です。 今日は皆さんが普段ご利用のAWSアカウントに対する不正アクセスを防ぐベストプラクティスと言われる運用におけるガイドラインや設定項目の推奨等についてご紹介します。 AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを安全に制御するためのウェブサービスであり、AWSマネージメントコンソールへのログインに用いるユーザーやAWSリソースへのアクセスに用いるAPIアクセスのキーの管理等に使用されます。マネージメントコンソールへのログインを行う管理用ユーザーを発行する機能が含まれる
皆さん、IAM使ってますか〜? 今日は、IAMのベストプラクティスの中に呪縛のように存在する、最小権限をテーマに悩みを語ってみようと思います。 IAMでのセキュリティのベストプラクティス まずは、IAMのベストプラクティスの確認です。2020年7月現在では、17個存在しています。一番最後のビデオで説明するの唐突感以外は、どれも納得感がある内容で実践・遵守すべきです。 docs.aws.amazon.com AWS アカウントのルートユーザー アクセスキーをロックする 個々の IAM ユーザーの作成 IAM ユーザーへのアクセス許可を割り当てるためにグループを使用する 最小権限を付与する AWS 管理ポリシーを使用したアクセス許可の使用開始 インラインポリシーではなくカスタマー管理ポリシーを使用する アクセスレベルを使用して、IAM 権限を確認する ユーザーの強力なパスワードポリシーを設定
IAM Best Practices from Amazon Web Services AWSのPrincipal Security Solutions ArchitectであるMax Ramsayが、AWS IAMのベストプラクティスを説くスライドの紹介。AWS IAMとは、AWSのサービスやリソースへのアクセスをセキュアに制御するためのサービス。 クラウド・ベンダーはメインとなる仮想サーバー機能やストレージ機能だけではなくて、IAMのような地味ながら極めて重要な機能を提供できることが大切であると個人的には感じている。ところが、IAMがあっても十分に活用されていない場合もあるので、この良スライドを意訳しつつ日本語でサマリーを書いてみる。 最小権限の原則といったセキュリティ管理における常識的な内容を、AWS IAMという機能にマッピングするのが本プレゼンテーションの趣旨なので、実現方法の説
概要 AWS:IAMについて学んだことをまとめる 学習は Amazon Web Services 業務システム設計・移行ガイド をベース IAM (Identity and Access Management) とは 「どのサービス(リソース)に対する」 「どのような操作を」 「誰に」 許可するか・許可しないかを定義出来る IAM を用いてユーザに権限を付与するまでの流れ AWSサービスやAWSリソースに対する操作権限を「IAMポリシー」として定義する IAMポリシーを「IAMユーザー」や「IAMグループ」にアタッチする IAMポリシー AWSサービスやAWSリソースに対する操作権限をJSON形式で定義したものがIAMポリシー 定義項目 項目 内容
テクニカルトレーナーと学ぶ AWS IAM ロール ~ ここが知りたかった ! つまずきやすい部分を理解してモヤっとを解消 - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
こんにちは ! テクニカルトレーナーの杉本圭太です ! 最近読んで面白かった漫画は「あかねさす柘榴の都」と「クジマ歌えば家ほろろ」です。 今回は IAM ロールの説明を、私なりに感じた「理解する時につまずきやすい部分」を紹介する形式でお伝えします ! これは自身の経験やトレーニングの受講者からよくいただく相談などを踏まえたものなので、今まで IAM ロールの説明を聞いたり読んだりしてきたけどいまいちピンときていない方に、ぜひモヤッとを解消していただきたいです ( ・∀・)=b というのも、私は業務でお客様に AWS の様々なトレーニング を提供しているのですが、AWS Identity and Access Management (IAM) について説明をした後に「トレーニングを受講したことで、今まで難しいと感じていた IAM ロールを理解できた !」と言っていただくことがあります。そのた
はじめに 今週のQiitaの記事は技術書典で買ったIAM本の書評を書く — nari@BOOTHで好評発売中「GoとAWS CDKで作る本格SlackBot入門」 (@fukubaka0825) September 27, 2019 今技術書典で買ったIAM本、Cognito本、OAuth本を読んでいて今までさらっと流してきた認証認可をがっつり学び直すことができて最高 — nari@BOOTHで好評発売中「GoとAWS CDKで作る本格SlackBot入門」 (@fukubaka0825) September 27, 2019 こんにちわ。Wano株式会社エンジニアのnariと申します。 今回の技術書典7で個人的に一番のお目当だったIAM本を読了したので、宣言通り書評を書いていきます。一言だけ先に行っておくと、**「AWSユーザー全員が読んでおく価値のある本」**となっていました。 2行で
AWS IAMどうしましょ
AWS IAMの以下のリソースについてどのように考えればいいか - Identity-based Policy vs Resource-based Policy - Permission Boundary - Tag-Based Policy - AWS SSO vs Federated IAM Role
はじめに こんにちは、川原です。 AWSのIAMサービスでは、各AWSサービスへの操作をアクセス制御するために「ポリシー」という概念があります。 AWSのドキュメントを読んでいると、ポリシーにはいくつか種類があることに気付くかと思います。本ブログではそれらのポリシーについて整理してみたいと思います。 ポリシーの基本 ポリシーは基本的に、「誰が」「どのAWSサービスの」「どのリソースに対して」「どんな操作を」「許可する(許可しない)」、といったことをJSON形式で記述します。 記述したポリシーをユーザー(IAMユーザー、IAMグループ、IAMロール)や、AWSリソースに関連づけることで、アクセス制御を実現しています。 例えば、以下のJSONはAWS側で用意しているAmazonS3ReadOnlyAccessという名前のポリシーです(後述するユーザーベースポリシーのAWS管理ポリシーに該当)。
はじめに 先日開催された技術書展7で発売された「AWS IAMのマニアックな話」(IAM本)を購入して読み進めています。 本の中身に関しては読了してから勉強記事としてまとめようと思いますが、その前にIAM本をオススメしたくこの記事を書いています。 おすすめポイント 今回オススメするポイントは下記の2つです。 IAM関連の用語や考え方が「平易な言葉で簡潔に」説明されているので、基礎レベルの理解がスムーズに進む IAM周りのデザインパターンやIAM設計・運用のベストプラクティスも記載されているので、「基礎レベルの知識を踏まえて」実践的な内容を学習できる 上記の点から、「AWS IAMのマニアックな話」はIAM初心者こそ読んだ方がいい一冊だと感じました。 本の詳細 著者 佐々木拓郎さん (Amazon Web Services パターン別構築・運用ガイドの筆者でもあります。) 購入サイト ダウン
こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。 皆さんは定期的にIAMリソースの棚卸しや管理をしていますか?いつの間にか溜まっちゃってる不要なIAMユーザーやIAMポリシーは無いですか? 不要なIAMリソースを放置することはセキュリティ的に危険です。不要なものは定期的に削除しちゃいましょう。 そこで今回は不要なIAMリソースを少しでも楽に棚卸しする方法をまとめてみました。下記ターゲットに当てはまる方は是非ご一読ください。 本記事のターゲット IAMリソースを管理していない方/出来ていない方 IAMリソースの棚卸しをマネジメントコンソール上から手動でポチポチやって時間がかかっている方 やりたいこと あまり時間をかけずにIAMリソースの棚卸しをしたい 普段使っていないIAMリソースや新規作成したIAMリソースを定期的に確認したい やってみた 今回は以下の3つの
AWS IAM Userアクセスキーローテーションの自動化 | BLOG - DeNA Engineering
この記事は、 DeNA Advent Calendar 2021 の17日目の記事です。 こんにちは、 @karupanerura です。 普段はAWSやGCPを使って仕事をしています。 前作 に引き続き、AWS IAM Userのアクセスキーの定期的なローテーションを自動化したので、今回はそれについて書きます。 IAM Userの使いどころ IAM Userの利用にはアクセスキー(Access Key IDとAccess Key Secretの組)やコンソールログイン用のパスワードなどのクレデンシャルが必要です。 当然これらが漏洩すればそれを不正に利用され得るリスクがあるので、可能であればなるべくIAM Roleを利用するべきです。 IAM Roleならクレデンシャルの管理が不要で、アプリケーションやサービスに対してそのIAM Roleを通して任意の権限を与えることができるため、管理も非
AWSではいろいろなサービスを組み合わせて情報を守る AWS上に構築したシステム、データを安全に管理するにはどうすればよいでしょうか。 オンプレミスの場合、データセンターにサーバー機器を設置して、設定を行い、インターネット回線を敷設して、やっとインターネット経由でシステムが操作できるようになります。また、勝手にデータセンターに入られて、新たに大きなシステムを勝手に作られるといった心配はないでしょう。 AWS(クラウド)の場合はどうでしょうか。AWSアカウントを作成した直後に、管理者ユーザー(ルートユーザー)でログインして操作を行います。つまり、このユーザー情報が第三者に漏れると、AWSアカウント内で任意の操作を第三者が実行できるようになり、不正アクセスされてしまいます。アカウント作成直後であれば機密情報は無いですが、不正にEC2などのリソースを大量に作成するといったことは可能です。そのため
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【2022年版ベストプラクティス】AWS IAMまとめ - Qiita
"ざっくり"話す"AWS IAM"の特権昇格の考え方と対策
AWS IAMがWebAuthnに対応。多要素認証の要素として利用可能に(記事訂正)
AWS IAMの最小権限追求の旅 - プログラマでありたい
AWS IAMによるセキュリティ・ベストプラクティス(スライド紹介) - ブログ日記
AWS : IAMについて今更学ぶ - Qiita
「AWS IAMのマニアックな話」が良本だったので紹介してみる - Qiita
AWS IAMポリシーを理解する | DevelopersIO
「AWS IAMのマニアックな話」は「IAM初心者」にこそちょうどいい - Qiita
AWS IAMリソースの棚卸し方法をまとめてみた | DevelopersIO
AWS IAMとは何か?クラウドで重要な認証・認可の基礎を理解する